5000人以上の従業員に証明書を自動配布。多要素認証を実現し負担も軽減

L社 様 業種 :製造
課題 :クライアントセキュリティ

導入の背景・目的・課題

大手総合電機メーカーのL社。従業員数は国内外のグループ会社を含め約10万人になります。近年、企業を狙った不正アクセスが横行しており、その手口も年々巧妙化しています。L社でも、それなりのセキュリティ対策はとっていましたが、何段階かに分けられた攻撃をうけた末に、グループ社内のネットワークに侵入されてしまい、個人情報と機密情報への不正アクセスが発覚しました。原因の一つには、利用者のパスワードの設定・管理の甘さにつけこまれたことがあげられ、再発防止策が求められました。

導入までの経緯

L社では今回のインシデントにおける対策チームが結成され、社内ネットワークへの認証強化を行うことになりました。いくつかの多要素認証の方法を検討した結果、アクセス制限が可能という点からクライアント証明書を採用することにしました。証明書を各自の端末にいれることを想定すると、利用者の数から最低でも5,000ライセンス以上は必要となり、運用・管理の視点から負担を軽減できる方法はないかと考えていました。

そこでクライアント証明書の見積を取っていたグローバルサインに相談したところ、「AEG（Auto Enrollment Gateway）というサービスがあり、御社でActive Directoryを導入されているようでしたら、連携してクライアント証明書を指定の端末に自動配布することができます」と提案を受けました。

L社ではWindows Serverで、Active Directoryを構築し、社内ユーザを管理していました。AEGの導入は追加コストでしたが、システム管理者の大量の証明書発行や証明書のインストール、更新に伴うサポートの負荷などの人的工数を費用換算した結果、導入を決定しました。

導入して良かった点

不正アクセスされたサーバをクライアント証明書でアクセス制限し、踏み台のひとつとなったメールシステムを多要素認証に変更したL社。インシデント対策チームは、導入結果について「今回、クライアント証明書は多要素認証ができればよいと思っていましたが、どんなに対策をしたとしても、最終的にセキュリティホールになるのはやはり“人”です。ライセンス数は減らせませんし、証明書の更新切れやそれに伴うトラブルなどのリスクを考えると、AEGで自動化したことで、業務上の負担だけでなくリスクも軽減できました。また利用者の方もパソコンに自動でインストールされ、アクセスも今まで通り行うだけなのでリテラシーも気にすることなく、セキュリティ強化ができました。」とお話くださいました。

L社では他にも、ID/パスワードのみでの認証やアクセス制限のかけられていない部分がないかを見直し、クライアント証明書を用いたセキュリティ対策を行っていかれるとのことです。